Windows Server 2016 mit Windows Defender und ATA schützen (2)

Lesezeit
2 Minuten
Bis jetzt gelesen

Windows Server 2016 mit Windows Defender und ATA schützen (2)

08.04.2019 - 00:00
Veröffentlicht in:
Microsoft stand in Sachen Sicherheit in der Vergangenheit nicht immer im besten Licht. Der Konzern reagierte darauf unter anderem mit verbesserten Bordmitteln in Sachen Security. Dazu gehört einerseits Windows Defender, der Malwareschutz von Windows Server 2016. Weiter greift Microsoft Advanced Threat Analytics, das die Sicherheit im Netzwerk überwacht – insbesondere, wenn User mehr als ein Gerät nutzen. Für gewisse Lizenzmodelle ist auch dieses Werkzeug kostenlos. Wie Sie mit diesen Tools Server und Netzwerk schützen, zeigt dieser Beitrag. Im zweiten Teil gehen wir auf die Installation von Microsoft Advanced Threat Analytics ein und beschreiben, wie Sie mit Deep-Packet-Inspection und SIEM auf Angreifersuche gehen.
Microsoft Advanced Threat Analytics
Microsoft Advanced Threat Analytics (ATA) ist eine Erweiterung der Enterprise Mobility Suite (EMS). Aufgabe des On-Premises-Systems ist das Erkennen verdächtiger Aktionen im Netzwerk, die von Angreifern durchgeführt werden. Im Fokus von ATA stehen dabei Angriffe auf Benutzeranmeldedaten. Daher behält die Software vor allem Active-Directory-Domänencontroller im Auge. Der Dienst soll aber nicht nur Endgeräte wie Smartphones oder Tablets schützen, sondern auch interne Netzwerke in AD-Strukturen sowie in Microsoft Azure und Azure Active Directory. Microsoft will mit ATA den Unternehmen ein Werkzeug an die Hand geben, um Netzwerke vor Angriffen zu schützen, die durch eine Vielzahl an Zugriffsmöglichkeiten stattfinden können. In den meisten Firmen können Anwender über immer mehr Geräte und Anbindungen auf Daten des Unternehmens zugreifen. Nur durch ein zentrales Tool wie ATA ist es dabei möglich, einen Überblick zu erhalten und Angriffe schnell und einfach zu entdecken.

Bild 4: Im Assistenten zur Installation des ATA-Centers nehmen Sie wichtige Einstellungen vor und hinterlegen die notwendigen Zertifikate.

Die Einrichtung des Tools gestaltet sich sehr einfach, die Analyse des Netzwerkes erfolgt sofort nach der Installation. Sie installieren einen Serverdienst, der das Netzwerk überwacht und einen zentralen Sammeldienst, der die Informationen aufbereitet. Die Installation kann auf dedizierten Servern erfolgen sowie auf einem gemeinsamen Server. Sobald Sie ATA installiert und eingerichtet haben – wenn Sie schnell sind in unter zehn Minuten – beginnt das System mit der Analyse des Netzwerks. Versucht ein Trojaner oder ein Angreifer zum Beispiel Benutzernamen im Active Directory auszulesen, erkannt das Tool dies und gibt eine Warnung in der Weboberfläche aus.


Verdeckte Angriffe im Netzwerk
Um was für Angriffe handelt es sich überhaupt, vor denen das ATA schützt? Laut Microsoft werden 76 Prozent aller Angriffe auf interne Netzwerke durch gestohlene Anmeldeinformationen durchgeführt. Greift zum Beispiel ein Anwender mit seinem Notebook auf einen Dateiserver zu, wird eine Vielzahl an Daten übertragen. Nutzt der Anwender mit seinen Anmeldedaten noch weitere Serverdienste wie SharePoint, CRM- oder andere Lösungen, erstellt das Active Directory Tickets (Hashes), um den Zugang zu gewähren.

Gelangen diese Informationen in die falschen Hände, haben Angreifer mit den gestohlenen Benutzerdaten des Anwenders Zugriff auf das Netzwerk. Möglich ist ein Abgreifen der Tickets etwa auf einem infizierten Rechner, da Windows die Hashes im Arbeitsspeicher ablegt. Das sind nicht nur die eigenen, sondern auch die Anmeldedaten anderer Nutzer – vor allen Dingen Administratoren –, die zu Wartungszwecken oder um Daten zu teilen auf den PC zugreifen dürfen.

Handelt es sich um die Anmeldedaten eines Administrators, steigt das Gefährdungspotenzial solcher Angriffe deutlich. In diesem Fall können Angreifer nicht nur auf die Serverdienste zugreifen, die der Anwender ohnehin nutzt, sondern auf eine Vielzahl weiterer Systeme im Netzwerk, die der Anwender normalerweise nicht verwendet. Sichtbar sind diese Attacken nicht – es werden keine Daten vernichtet oder PCs zerstört, sondern schlicht Daten gestohlen. Und das über Monate, ohne dass Administratoren, Firewalls oder Virenscanner irgendetwas bemerken. Derzeit gibt es so gut wie keine Lösungen, die Unternehmen vor solchen Angriffen schützen.

Hat der Angreifer aktive Konten gefunden, kann er alternativ versuchen, mit Brute-Force-Angriffen die Kennwörter der Konten herausfinden. Auch das erkennt ATA sofort und gibt ausführliche Informationen darüber aus, von welchem Client der Angriff ausgeht, welcher Domänencontroller verwendet wird und um welche Benutzerkonten es sich handelt. Hat der Angreifer die Kennwörter erfolgreich gestohlen, kann er sich an PC-Systemen anmelden. Das erkennt ATA ebenfalls – wie alle derartigen Vorgehensweisen, die es auf verständliche Weise anzeigt.

Seite 1: Installation von Microsoft Advanced Threat Analytics
Seite 2: Mit Deep-Packet-Inspection und SIEM auf Angreifersuche


Seite 1 von 2 Nächste Seite >>


jp/ln/Thomas Joos

[3] www.microsoft.com/en-us/WindowsForBusiness/windows-atp?wa=wsignin1.0

Ähnliche Beiträge

Datensicherheit in Zeiten von Quantum Computing

Quantencomputer machen klassische Verschlüsselungsverfahren in absehbarer Zeit obsolet. Daher müssen Unternehmen und öffentliche Einrichtungen bereits heute Vorkehrungen treffen, um die Sicherheit ihrer Daten und IoT-Systeme zu gewährleisten. Der Beitrag erklärt, welche Maßnahmen dafür in Betracht kommen. Dazu zählt der Einsatz einer Post-Quantum-Verschlüsselung. Wichtig sind außerdem die lückenlose Erfassung geschäftskritischer Daten und der Aufbau von Quantencomputer-Know-how.

Seite 2 - Funktionale SAP-Berechtigungskonzepte

Drei Szenarien für die Einführung von SAP-Berechtigungskonzepten
Genauso individuell wie jedes einzelne Unternehmen sind auch ihre SAP-Berechtigungskonzepte und deren Implementierung beziehungsweise Optimierung. Der eine Königsweg ist demnach ein Mythos. Die folgenden drei Szenarien zeigen daher beispielhaft die vielfältigen Wege hinsichtlich SAP-Berechtigungskonzepten auf:

Szenario Nr. 1: Zukunftsfähig aufstellen mit S/4HANA